<!DOCTYPE html>
<html lang="zh-CN">
	<head>
		<meta charset="UTF-8" />
		<meta name="viewport" content="width=device-width, initial-scale=1.0" />
		<title>点击劫持攻击</title>
		<style>
			iframe {
				width: 400px;
				height: 100px;
				position: absolute;
				background-color: pink;
				top: 0px;
				left: -14px;
				opacity: 0.5; /* 实际开发中这里为0 */
				z-index: 1;
			}
		</style>
	</head>
	<body>
		<!-- 点击劫持攻击：“点击劫持”攻击允许恶意页面 以用户的名义 点击“受害网站” -->

		<!-- 受害者网站 -->
		<iframe src="facebook.html"></iframe>

		<button>点这里</button>

		<div>......你很酷（我实际上是一名帅气的黑客）！</div>

		<!--
				点击劫持攻击解决方案：
				建议在那些不希望被在 frame 中查看的页面上（或整个网站上）使用 X-Frame-Options: SAMEORIGIN（服务端处理）。
				如果我们希望允许在 frame 中显示我们的页面，那我们使用一个 <div> 对整个页面进行遮盖，这样也是安全的（前端处理）。
			-->
	</body>
</html>
